Demana IA Demana IA
  • Precios
  • Funcionalidades

Seguridad de la plataforma

Documento técnico · Versión 1.0 · 12 de junio de 2026

📥 Descargar como PDF (imprimir esta página desde el navegador con Ctrl+P / Cmd+P → Guardar como PDF)

1. Resumen ejecutivo

Demana IA aplica un modelo de seguridad por capas diseñado para proteger datos jurídicos sometidos a secreto profesional. Este documento describe las medidas técnicas y organizativas implementadas y está destinado a responsables de seguridad, DPDs y clientes que necesiten evaluar la plataforma para sus procesos de compliance.

2. Cifrado

2.1 Cifrado en reposo

Todos los documentos, metadatos, conversaciones, índices vectoriales (FAISS), índices BM25 y mensajes de chat se almacenan cifrados en disco mediante Fernet (AES-128-CBC + HMAC-SHA256). La clave de cifrado se gestiona mediante la variable de entorno ENCRYPTION_KEY, que puede derivarse de una frase de contraseña o generarse como clave Fernet.

2.2 Cifrado en tránsito

Todas las comunicaciones entre el navegador del usuario y los servidores de Demana IA utilizan TLS 1.3. Las conexiones a bases de datos externas (Supabase/PostgreSQL) utilizan SSL/TLS con verificación de certificado.

2.3 Cifrado de backups

Las copias de seguridad de la base de datos se almacenan cifradas. Los ficheros de usuario se respetan con su cifrado original.

3. Aislamiento multi-tenant

Cada usuario (y cada miembro de un despacho) tiene aislamiento técnico a nivel de base de datos (filtrado por user_id en cada consulta SQL) y a nivel de sistema de ficheros (directorios separados por user_{id}). No es posible que un usuario acceda a los documentos, conversaciones o índices de otro usuario.

4. Autenticación y control de acceso

  • JWT: Autenticación mediante JSON Web Tokens firmados con HMAC-SHA256. Los tokens expiran por defecto a las 24 horas.
  • Contraseñas: Almacenadas con hash bcrypt (cost factor ajustable). Nunca en texto plano.
  • Roles: Usuario estándar, gestor de grupo y administrador. Cada rol tiene permisos diferenciados.
  • Rate limiting: Limitación de frecuencia por usuario para prevenir abusos.

5. Infraestructura

ComponenteProveedorRegión
Compute (VPS)HetznerUE (Alemania)
Base de datosSupabase (PostgreSQL)UE (eu-central-1)
LLM APIAlibaba DashScope (Qwen)UE (Frankfurt)

6. Protección de datos

  • No entrenamiento: Los documentos del usuario nunca se utilizan para entrenar o afinar modelos de IA.
  • Retención: Los datos se conservan mientras la cuenta esté activa. Tras la cancelación, se eliminan en un plazo máximo de 30 días.
  • Registro de auditoría: Cada consulta queda registrada con usuario, timestamp, modelo utilizado y documentos consultados. Exportable a CSV.
  • Base jurídica: El tratamiento se realiza en el marco de la ejecución de un contrato de servicios (art. 6.1.b RGPD).

7. Ciclo de vida del desarrollo seguro

  • Dependencias: Revisión periódica de dependencias con pip-audit. Actualización ante CVEs críticos.
  • Cabeceras de seguridad: HSTS, X-Frame-Options, X-Content-Type-Options, CSP restrictiva.
  • CORS: Configurable por entorno. En producción, limitado al dominio de la aplicación.
  • Logs: Sin registro de contenido de documentos ni mensajes en logs de aplicación.

8. Certificaciones y cumplimiento

Demana IA no está actualmente certificada bajo ISO 27001 ni SOC 2. No obstante, las medidas aquí descritas se alinean con los principios de dichas normas. Se proporciona un Acuerdo de Encargo de Tratamiento (DPA) para clientes que lo requieran bajo el art. 28 RGPD.

9. Contacto de seguridad

Para notificar vulnerabilidades o solicitar información adicional: hola@demanaia.com

🖨️ Para guardar como PDF: Archivo → Imprimir (Ctrl+P) → Guardar como PDF